×

Mensaje de advertencia

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

Meraki MX: Seguridad integral a tu alcance - FAQ

Documento

Vie, 12/02/2016 - 09:50
Dic 2nd, 2016
User Badges:
  • Silver, 250 points or more
Table of Contents 

Introducción


     

Hugo Velasco es un ingeniero de preventa de Ingram Micro México, se especializa en requerimientos específicos de Cisco Meraki y Cisco Security. Cuenta con estudios de Ingeniería en Sistemas Computacionales del Instituto Tecnológico de Estudios superiores de Monterrey, anteriormente ha trabajado como ingeniero de soporte en PROSOFT S.I. Hugo tiene varias certificaciones de Meraki y seguridad, actualmente se prepara para el Cisco CCNA de R & S.  

 
Puede descargar la presentación en formato PDF aquí. También puede encontrar mayor información de la solución Meraki MX aquí. 






Meraki MX: Solución integral a tu alcance


P: ¿Meraki es un firewall administrado desde la nube, o un firewall para aplicaciones en la nube?

R: Es una solución de Seguridad administrada desde la nube, detalles en: https://meraki.cisco.com/technologies/next-gen-firewall
Permite olvidarse de tener múltiples controladoras, ya que todo lo gestiona central mente desde el dashboard en la nube.

P: Si mi equipo meraki pierde conexión a Internet ¿puedo gestionarlo localmente?

R:Es posible accesar a el desde un Ipad en un café que tenga conexión a Internet, vale la pena recordar que el dashboard corre desde cualquier sesion browser donde tengas conectividad a Internet.Ahora bien, cuando se tiene conectividad a Internet el firmware se actualizará por los cambios realizados.
Si el equipo Meraki pierde conexión a la red se puede seguir trabajando en el con la configuración que se guardó en la nube. Permite acceder a todos los recuerdos locales que se tienen en la red.

P: ¿Existen certificaciones Meraki?

R: Puedes consultar el programa Meraki 360, para mayor información se debe contactar con Ingram Micro.  

P: El tiempo de vigencia ejemplo tengo una que vence en un año y agrego mas equipos a tres años, que pasa con el tiempo de vigencia ¿sigue siendo mas independiente para cada equipo o se promedia el tiempo de vigencia ?

R: El tiempo de vigencia de los equipos no es independiente. Podríamos visualizarlo como un pool de licenciamiento del cual se “alimentan” los equipos que pertenecen a una organización. 


Licencia Meraki

P: En cuestión de licenciamiento ¿tiene un limite para usuarios?  

R: El límite de usuarios no depende del licenciamiento, sino de la capacidad del hardware, el desempeño del enlace y el consumo de ancho de banda de los clientes.

P: ¿Cuantas VLANs puedes configurar para un corporativo con 8 sucursales?

R: Se pueden configurar las que sean necesarias.

P: Para la parte de bloqueo de HTTPS ¿Meraki cuenta con certificado propio  o se necesita uno propio?

R: El bloqueo de HTTPS se hace mediante el patrón de dominio, no mediante certificados.

P: ¿Los equipos Meraki soportan seguridad de puertos?

R: Si te refieres a puertos físicos: En el caso del MX se puede hacer configuración básica en sus puertos. Determinar si es acceso o es algún troncal y determinar configuración de VLANs. Esto se debe a que el equipo MX está diseñado para estar en el borde de la red. Los switches de Meraki cuentan con todas las funcionalidades de seguridad en puertos.
Si te refieres a puertos de red: En efecto las reglas de capa 3 permiten bloqueo de puertos.

P: Podrían explicar un poco más de ¿cómo se puede dar más ancho de banda a una URL en específico?

R: Por URL como tal no se soporta. Solamente es por políticas de traffic shaping y a ciertas categorías.

P: ¿Cuándo ponemos el filtro de "apuestas", el filtrado lo hace por medio de una lista de sitios que se actualiza o analiza el contenido que pasa por el firewall?

R: Es una lista de URLs.

P: ¿En un dashboard puedo generar varias redes diferentes? Esto en caso de que yo proporcionará el servicio de red contra varios clientes y quisiera administrarlos a todos. 

R: Correcto, esto se puede hacer en le dashboard. 

P: Veo que content filtering lo tienen los firewall ¿los APs no incluyen eso, quiere decir que para tener content filtering en mi red de APs, debo comprar un firewall?

R: Los APs Cisco Meraki cuentan con firewall en Capa3 y capa7 y reglas de Traffic Shaping. La funcionalidad es como la vimos en la demo, solo que en este caso se aplican por SSID y no a toda la red, a todos los clientes o por VLAN.

P: ¿Se puede ligar con grupos de AD ?

R: Sí es posible, se puede ligar con equipos Active Directory. Por ejemplo existen funcionalidades VPN con estos equipos. 

P: Si tengo equipos MR32 para mi red Wireless ¿cuantos usuarios conectados soporta y qué rango de cobertura de wireless tendría?

R: En pruebas realizadas se ha encontrado que bajo condiciones ideales se pueden hablar de 100 dispositivos conectados. Las consideración se basan en la infraestructura, la estimación de los usuarios y el manejo ye se le da a la conexión. Se hablan de 30m de radio de cobertura, cualquier obstáculo puede consumir señal. 

P: ¿Se realiza descifrado de SSL?

R: No, no se realiza el descifrado. Sin embargo se está trabajando en una solución para este tema, de momento solo el tráfico y la fuente se ve.

P: Al establecer el limite ¿podemos seleccionar algunos usuarios que queden excentos de dicha restricción?

R: Sí es posible, el dashboard permite abordar una situación de diversas formas. Por ejemplo se puede hacer a nivel de usuario, a nivel de grupo, a nivel de VLAN o incluso a nivel de red. Simplemente se hacen excepciones deseadas en la red. 

R: Existe una página de administración y monitoreo local, se puede accesar vía cable mediante uno de los puertos de administración de estos equipos. Al conectar un cable brinda las opciones de administración 

P: Si tenemos clientes que cuentan con equipos de otra marca ¿Meraki es compatible con estas para administrarlas?

R: No, Merkai en este momento solo permite gestionar soluciones de Meraki. Con otros equipos de otras marcas solo permite visualizarlos, más no configurar los o acceder a todas sus funcionalidades. 

P: Si estoy utilizando un  switch Cisco con controladora para wireless, en este caso Aironet ¿existe algún problema en integrar mi red Meraki dentro de ese switch?

R: Pueden coexistir, pero no se pueden administrar de manera conjunta. Ni el dashboard ni la controladora pueden administrar otros equipos, dashboard solo administran equipos con controladora  

P: ¿Qué funcionalidades de Inteligencia de Seguridad tiene para detectar anomalías de tráfico independientemente de las firmas?

R: Detecta anomalías basadas en geo-localización, por firmas y por URLs. Hay que recordar que está integrado con el motor de seguridad de AMP por lo que las actualizaciones en este motor son continuas, al día, por lo que no es necesario actualizar el motor de manera constante. El MX consulta con la nube de AMP el archivo en cuestión.

P: ¿Qué debo hacer para Certificarme en Cisco Meraki?

R: Como tal no hay certificaciones tradicionales como en Cisco Tradicional. Existe una que es el CMNA. Es necesario contactarse con nuestro equipo para determinar cómo se puede acceder a esta certificación. Meraki 360 es un entrenamiento diseñado para nuestros canales, que estamos impartiendo nosotros mismos, también puede ser una alternativa interesante.

P: ¿Qué sucede y cómo conviven la seguridad de Meraki con Enterprise Mobility Suit + security de Microsoft?

R: Para utilizar Easy VPN forzosamente se debe hacer entre equipos Meraki. Entre equipos Meraki es indiferente si la IP es estática o dinámica ya que se establece a través de la nube de Meraki. De la misma manera, gracias a Dynamic DNS puedes utilizar VPNs para cliente sin IP pública. En caso de ser sitio a sitio con terceros, se maneja como una VPN tradicional.
A final de cuentas podemos considerarlos medidas complementarias. En este caso, cuando hablamos del MX estamos hablando de un dispositivo de red diseñado para proteger lo que entra y lo que sale de nuestra red. Es un dispositivo diseñado para proteger el borde de nuestra red. Si bien nos ofrece seguridad, visualización, monitoreo y control de los clientes no es una solución de movilidad como Enterprise Mobility. Sin embargo, Meraki si cuenta con una solución de administración de dispositivos llamada Systems Manager. Es un MDM que soporta dispositivos Windows, OS, iOS, Android y Windows Phone. Este producto se maneja desde el mismo dashboard que vimos en la demo. Se requieren licencias por dispositivo. Por favor contactar a Hugo de Ingram para poder discutir sobre esta solución más a fondo.

P: ¿Qué pasa si los usuarios utilizan un tunel? (a nivel de aplicación)

R: Esta respuesta estará disponible próximamente 

P: ¿Se puede integrar con LDAP ?

R: Correcto, Meraki soporta diferentes tipos de autenticación de clientes. Uno integrado en Meraki, RADIUS, LDAP, AD e incluso Facebook WiFi.

P: ¿Desde que costo el cliente puede contar con estas soluciones?

R: El MX64, el MX más pequeño, con un año de licenciamiento debe rondar entre los 1000 dlls. Por favor contactarnos para discutir propuestas comerciales y buscar un descuento.

P: ¿Meraki es compatible con equipos Cisco antiguos?

R: Depende de compatible en qué sentido. En sí, no se puede administrar ningún equipo ajeno a Meraki desde el dashboard. El dashboard y la administración basada en la nube son exclusivos de productos Meraki. Pueden coexistir dentro de una misma red, por supuesto, son equipos de telecomunicaciones a fin de cuentas.

P: ¿En qué parte del sitio podemos entrar para otorgar la demostración de la solución a nuestros clientes?

R: Más detalles en: https://meraki.cisco.com/lp/free-demo 

P: ¿Es compatible con otras series Cisco, se puede conectar un router de la serie 800 a la VPN?

R: Se puede establecer una conexión VPN con routers tradicionales Cisco, sin embargo la configuración es un más compleja de lo que vimos en la demo.

P: ¿Ésta solución es bajo renta mensual o como se puede obtener?

R: Es un esquema de licenciamiento anualizado. Cada equipo requiere una licencia para funcionar y las licencias son de 1, 3, 5, 7 y 10 años.

P: ¿La IP pública necesariamente tiene que ser estática o también trabaja con Ip's dinámicas?

R: Para utilizar Easy VPN forzosamente se debe hacer entre equipos Meraki.  Entre equipos Meraki es indiferente si la IP es estática o dinámica ya que se establece a través de la nube de Meraki. De la misma manera, gracias a Dynamic DNS puedes utilizar VPNs para cliente sin IP pública. En caso de ser sitio a sitio con terceros, se maneja como una VPN tradicional.

P: ¿La promoción del año gratis funciona comprando licencia de 3 años y se cuenta con 4 años de servicio?

R: Correcto, el año gratis es a partir de los 3 años. En este caso con una de 3 se dan 4 años de servicio. Esto solo aplica con clientes/contratos nuevos.

P: Exactamente ¿cuál es la información de administración que se va a la nube?

R: En primer lugar toda la información de administración de Meraki, la configuración de los equipos. Ciertos analíticos también, como por ejemplo el tipo de tráfico y las aplicaciones que lo están generando. En cuanto a clientes, direcciones MAC, fabricante. Todo esto se procesa y se generan reportes útiles en el dashboard que nos permiten tomar decisiones informadas.

P: La duda es sobre el licenciamiento meraki ¿la diferencia entre renovar una licencia para un equipo y agregar una nueva?

R: Cada equipo tiene una licencia en forma individual que se puede adquirir por plazos de 1, 3, 5, 7 o 10 años. Hoy día Meraki tiene una promoción hasta el 27 de Julio 2017 en al cual, si se compra un mínimo de 3 años de licenciamiento Meraki da un año adicional y solo aplica para nuevos contratos NO RENOVACIONES.

P: ¿Qué pasa con Deep Packet Inspection?

R: Se pueden aplicar políticas para visualizar tráfico capa 7, content filtering, IPS/IDS y mas funciones con la licencia de Advanced Security ya que el engine es Sourcefire.
También se pueden encontrar más detalles en:https://meraki.cisco.com/technologies/layer-7-visibility

P:¿Puedo hacer una VPN de 15 sitios con un z1 cada uno y en el centeal con un fortigate 100d?

R: La solución de Meraki solo puede ser configurada y administrable únicamente para las soluciones de Meraki, solamente puedes visualizar equipos de terceros.

R: Es un caso muy específico. Para más detalles hay que contactar con tu distribuidor. Puedes registrarte en este link y solicitar ayuda: https://solucionespyme.cisco.com/cisco-ingram-meraki

P: La conexión VPN client ¿es posible establecerla desde un cliente apuntando al dynamic DNS que el MX genera por default aun cuando el MX no tenga una IP publica asignada [Topo: Sw-->MX-->Modem]?

R: Para más detalles hay que contactar con tu distribuidor. Puedes registrarte en este link y solicitar ayuda: https://solucionespyme.cisco.com/cisco-ingram-meraki

P: ¿Soporta Bgp?

R: Support for Open Shortest Path First (OSPF) dynamic routing.

P: ¿AMP también ya esta integrado en los MR?

R: AMP esta integrado únicamente en MX que es la solución de Seguridad, sin embargo MX y MR se comunican para mantener las políticas de seguridad que se aplican en ambas soluciones.

P: ¿Esta solución es similar a los Cisco ASA?

R: MX es la solución de Seguridad para Cloud Security que te ofrece las capacidades de un ASA ya que el engine es Sourcefire, la respuesta es si detalles en https://meraki.cisco.com/technologies/next-gen-firewall

R: Se tienen 3 uplinks, el tercero es de 3G-4G

P: ¿El M32 tiene capacidad para VPN?

R: Sí, más detalles en: https://meraki.cisco.com/technologies/auto-vpn

P: Tengo una consulta ¿al vencerse la licencia, el equipo queda prácticamente inservible o queda en alguna funcionalidad limitada?

R: Es importante que mantengas vigente la licencia ya que te ofrece toda la funcionalidad del dashboard, garantía de por vida, soporte tac, reemplazos, actualización firmware.

P: Si tengo APs de Meraki y quiero aplicar web filtering, ¿necesito un firewall?

R: Puedes aplicar políticas de traffic shaping, detalles en https://meraki.cisco.com/technologies/application-qos

P: ¿Por qué equipos esta conformada la red "solution center" ?

R: La solución MX de Seguridad ofrece funciones de IPS-IDS, firewall, content filtering, etc....mayor detalle en https://meraki.cisco.com/technologies/next-gen-firewall

P: ¿Cuál es la compatibilidad/interoperabilidad entre la solución tradicional (Basada en un WLC centralizado) y Meraki?... Podria tener un WLC y utilizar el Meraki dashboard para cuestiones de autenticacion de guest mediante web-auth?

R: Meraki se gestiona y configura desde el dashboard en la nube, no necesitas de controladoras y si hay diferentes métodos para autentificar detalles en https://meraki.cisco.com/technologies/next-gen-firewall

P: ¿Pueden explicar de forma rápida el procedimiento para la VPN?

R: Sí, pueden encontrar todos los detalles en: https://meraki.cisco.com/technologies/auto-vpn

P: ¿Todas las funciones están basadas por el modelo del equipo o por el manager de la nube?

R: Las funciones son las de cada solución de Meraki, sin embargo todas se visualizan y gestionan desde el dashboard.

P: ¿El mx64 puedo hacer balanceo de cargas?

R: Si lo puede hacer, detalles en https://meraki.cisco.com/technologies/failover-and-ha

P: Si Comprendo cuando todo es Meraki, pero ¿qué pasa si mi cliente tiene de todo un poco no me funcionaria o si? Es decir poder administrar varios dispositivos de seguridad mediante esta plataforma mediante una API o algo así.

R: Solo puedes ver en el dashboard los equipos de terceros pero no los podrás configurar ni administrar...solo puedes saber que están ahí en tu red y estos los ves en la topología de red de Meraki. Aunque, lo que si se puede hacer es desarrollar APIs para explotar capacidades de CMX para los APs y analizar el trafico de usuarios
Puedes revisar la siguiente liga de API developers http://developers.meraki.com/

P: ¿Pueden darse de alta dos HUBS que tengan el mismo segmento en la LAN?

R: Esta respuesta estará disponible próximamente 

P: ¿Qué precio tiene el software?

R: Depende de en qué momento y en donde se corra, recuerda que todo se hace vía cloud. Los precios son HW mas SOFTWARE contacta a Ingram y Hugo para cotizar una solución.

P: ¿Tienen problemas con bloquear youtube en Chrome?

R: Meraki filta por protcolo no por tipo de browser.

P: ¿Es posible establecer una regla de Videoconferencia, digamos para que cuando se tenga una videoconferencia se baje a lo minímo y tengan casi todos los recursos de ancho de banda a esa regla?

R: Sí es posible, ya que se pueden aplicar políticas de QoS y Capa 7.

P: ¿Se pueden usar equipos Meraki como el MR32 en conjunto con equipos Cisco como un Aironet? 

R: No, por el momento como solo se pueden visualizar en la topología de red.

P: Para la red 3G ¿se puede utilizar conjuntamente con la red LAN?

R: El 3G es una opción de conectividad WAN, se utiliza por si pierde la conexión a la WAN.

P: ¿Es posible configurar ACL para denegar o permitir trafico o ya no es necesario? 

R: Sí es posible, para detalles específicos hay que consultar con un representante de Meraki. 

P: ¿Ya tiene Ingram equipos Meraki en stock?

R: R: Ingram puede atender tus solicitudes de Meraki, solo se debe contactar a Hugo o Jennifer Rodriguez que es la PM de Meraki con Ingram y te puede cotizar Meraki. La solicitud se peude hacer vía el siguiente link: https://solucionespyme.cisco.com/cisco-ingram-meraki

P: Una vez vencida la licencia ¿el equipo aun se puede utilizar?

R: La licencia tiene que estar vigente para tener todas las funcionalidades del dashboard, garantías de por vida, acceso tac, actualizaciones sin costo del firmware.

P: ¿Para realizar la VPN se debe de tener en ambos extremos la misma tecnología?

R: La VPN entre equipos Meraki es muy sencilla de utilizar sin necesidad de IP publica, de cualquier forma se soporta VPN con terceros aunque la configuración es de manera tradicional.

P:¿Cómo me puede ayudar esta solución contra el Ransomware que esta tan de moda?

R: La solución de Meraki está integrada con la base de datos más grande del mundo con respecto a seguridad. El grupo de seguridad de Cisco revisa cantidades enormes de información de manera cotidiana por lo que tu equipo siempre estará al día y será el primero en saber de nuevos tipos de malware. Dentro de esta base de datos sin duda están registrados ransomwares conocidos y cada día se amplía esta base de conocimiento.

P: ¿Hay alguna demo para poder realizar pruebas con Meraki ?

R: Sí, actualmente se manejan facilidades para tener acceso a un equipo demo a al dashboard. Una opción es registrarse como Partner de Meraki, para obtener mayor información, orientación y facilidades: https://meraki.cisco.com/partners/ 

P: ¿Qué tal se comporta Meraki bloqueando páginas https?

R: Sí se soporta, sobre todo por la parte de los dominios. Se pueden bloquear dominios en las listas y reglas con https que uno determina.

P: ¿Los datos administrativos que van hacia la nube van encriptados?

R: Efectivamente, todos los datos de la sesión administrativa son seguros.

P: ¿Qué tipo de Meraki queda para una empresa que cuenta con 30 usuarios?

R: MX64 sería la opción por el número de usuarios. Aunque también se podría revisar la opción de un MX65W para oficinas pequeñas ya que brinda diversas características y posibilidades que apoyan a una mejor conexión. 

P: Disculpen ¿cómo puedo volver a ver el curso?

R: Pueden encontrar la grabación de la sesión en este link: https://supportforums.cisco.com/es/video/13175071

P: ¿Cuales son las principales características que puedo usar para competir con equipo de la competencia, como por ejemplo Fortinet, Palo Alto, CheckPoint?

R: Meraki es una solucion 100% Cloud, no utilizamos múltiples controladoras ya que esto lo da el dashboard. Además, Meraki integra las soluciones de Wireless, Seguridad, Red, Dispositivos, Video y todos los demas tienen que integrar a otros fabricantes. 






Información relacionada


 

Loading.